这一次，各种性质的主要意大利组织似乎成为了他们的“舞台”名称 Gozi 的十字准线。

负责此案的是以色列网络安全公司 Cynet。

Cynet 360 是世界上第一个原生集成端点攻击预防和检测功能的自主违规保护平台。

Ursnif 再次攻击，这次是针对意大利组织

Ursnif是一个与俄罗斯有关联的犯罪集团，其背后有着悠久的网络攻击历史，最近一段时间似乎主要想攻击和削弱意大利的组织。

这些数据直接来自对 Cynet 的仔细分析，Cynet 是一家在检测和管理网络安全领域的高级威胁方面处于领先地位的以色列公司。

在过去的一周里，该公司观察到针对意大利客户的网络攻击稳步增长，而且并非微不足道。

黑客如何运作

经过大量分析，发现 Ursnif 的作案手法主要针对数据泄露。尽管已经观察到变体增加了后门、间谍软件和文档注入器等功能。

如上所述，从 Cynet 的分析中可以看出，成为 Gozi 攻击受害者的客户端似乎彼此之间几乎没有任何共同之处。

到目前为止，这些黑客攻击背后似乎还没有明确的策略。事实上，已检测到攻击企图的目标客户之间不存在市场同质性。

已经检测到针对卫生部门、武装部队、电子商务和大型零售商的数据泄露企图。

攻击通常从鱼捞活动开始。

黑客首先获取有关受害者的在线信息，以便恶意电子邮件显得个性化并与用户实际使用的服务相关联。然后引导后者填写包含恶意负载的表格，在本例中为 excel 文档。

此时剩下要做的就是通过 regsvr32 崩溃下载并运行 DLL，这是一个能够操纵其他进程和监视应用进程的 Windows 系统文档，以激活受害者环境的命令和控制服务器。

Cynet 意大利、西班牙和葡萄牙的渠道经理Marco Lucchina 表示：

“Ursnif 组织的主要目标是窃取数据，旨在获取未经授权的收入，并利用现有信息进行其他攻击。

Ursnif 已在最近几周的几次网络钓鱼活动中被报告，与“Ricevuta AgenziaEntrate”或“sollecito DHL”等消息相关，但由于我们的 Orion Group（威胁情报）开展的工作，我们检测到更广泛的使用以及针对每个客户定制的针对性攻击。

此外，Cynet 在用户双击并触发第一个恶意负载的那一刻就检测并阻止了威胁，这意味着以前的保护层（如反垃圾邮件和用户培训）不够有效，这是一个警钟，表明采取纵深防御战略的重要性”。